オープンソースECサイト構築パッケージ「EC-CUBE」において、緊急度が高いクロスサイトスクリプティングの脆弱性が存在することが発覚いたしました。
本脆弱性が悪用された個人情報に関わる事故も発生していることから、プライバシーマーク付与事業者におかれましては、サイト運用にあたり当該製品をご利用の場合は、早急に対策を講じるようお願いいたします。

本件に関しては、JPCERT/CC、IPAからも注意喚起や対策についての情報提供が行われておりますので、以下のサイトをご参考にしてください。

• JPCERTコーディネーションセンター（JPCRERT/CC）
  
  • EC-CUBEのクロスサイトスクリプティングの脆弱性（CVE-2021-20717）に関する注意喚起

• 情報処理推進機構（IPA）
  
  • 「EC-CUBE」におけるクロスサイトスクリプティングの脆弱性について

事故の報告について

プライバシーマーク付与事業者において「EC-CUBE」に係る個人情報の漏えい等の事故が発生した場合は、プライバシーマーク指定審査機関へ事故報告書の提出をお願いいたします。
なお、重大な事故または重大な事故に発展する恐れがある場合は、事故報告書を提出する前に審査機関へご一報ください。

• 個人情報の取扱いに関する事故の報告について

一覧に戻る